Anasayfa/ Makale/ Sigortacılıkta Veri İşleme Şartları ve Aktarım Süreçleri

Sigortacılıkta Veri İşleme Şartları ve Aktarım Süreçleri

Sigorta sektöründe kişisel verilerin ve özel nitelikli sağlık verilerinin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması süreçleri, 6698 sayılı KVKK ve 2024 Reform Yasası kapsamında hukuki bir çerçeveye oturtulmuştur. Bu makale, sigortacılık faaliyetlerindeki veri işleme şartlarını ve aktarım usullerini incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) AÇIK RIZA KİŞİSEL VERİLERİN İŞLENMESİ KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Sigortacılık faaliyetlerinin temelinde, riskin doğru bir şekilde değerlendirilmesi ve poliçelerin oluşturulması yatar. Bu süreçlerin yürütülebilmesi için sigorta şirketlerinin çok sayıda kişisel veriyi ve özel nitelikli kişisel veriyi hukuka uygun şekilde işlemesi zorunludur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, sigorta şirketlerinin yürüttüğü bu faaliyetler belirli hukuka uygunluk şartlarına dayanmalıdır. İşleme şartlarının doğru tespit edilememesi, hem hukuki yaptırımları beraberinde getirmekte hem de sigortalılar nezdinde güven kaybına yol açmaktadır. Bu bağlamda, sigorta sözleşmelerinin kurulması ve ifası süreçlerinde verilerin işlenmesi, özel nitelikli sağlık verilerinin KVKK Reformu sonrasındaki durumu ve karmaşık veri akışlarının yaşandığı yurt içi ve yurt dışı aktarım süreçleri, sektördeki veri sorumluları açısından titizlikle yürütülmesi gereken temel hukuki adımları oluşturmaktadır.

Sigortacılıkta Kişisel Verilerin İşlenme Şartları

Sigorta şirketleri tarafından kişisel verilerin işlenmesinde, KVKK'nın 5. maddesinde sayılan hukuki işleme şartlarına uyulması esastır. Uygulamada sigorta sözleşmesinin hazırlık aşamasında, teklif alınması ve risk değerlendirmesi yapılması gibi süreçlerde bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartına sıklıkla başvurulmaktadır. Bunun yanı sıra, sigorta şirketlerinin Sigortacılık Kanunu ve ilgili alt mevzuat gereğince kamu kurumlarına raporlama yapması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına dayanmaktadır. Özellikle kredi risk değerlendirmelerinin yapılması gibi hallerde, ilgili kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaati işleme şartı da gündeme gelebilmektedir. Ancak, açık rızanın sigortacılık hizmetinin sunulması için bir ön şart olarak dayatılması, yani hizmetin açık rıza şartına bağlanması Kanun'a aykırılık teşkil edeceğinden, rızanın özgür iradeyle verilmiş olması büyük bir hukuki hassasiyet gerektirir.

Özel Nitelikli Kişisel Verilerin İşlenmesi ve KVKK Reformu

Can sigortaları, özellikle hayat ve sağlık sigortaları bağlamında özel nitelikli kişisel verilerin işlenmesi sektörün ayrılmaz bir parçasıdır. Sigortalı adayının mevcut veya geçmiş hastalık öyküsü, genetik test sonuçları ve maluliyet durumunu gösteren kişisel sağlık verileri, riskin belirlenmesi ve poliçe primlerinin hesaplanması için kritik önem taşır. 2024 yılında yürürlüğe giren KVKK Reform Yasası öncesinde, sağlık verilerinin işlenmesi büyük ölçüde açık rızaya tabiydi ve bu durum uygulamada ciddi tıkanıklıklara yol açmaktaydı. Ancak yapılan yasal değişikliklerle, özel nitelikli kişisel verilerin işlenme şartları genişletilmiş ve sigorta şirketlerinin faaliyetlerini kolaylaştıran yeni hukuki zeminler oluşturulmuştur. Artık sigorta şirketleri, poliçe tazminat süreçleri ve uyuşmazlıkların çözümü gibi durumlarda, bir hakkın tesisi, kullanılması veya korunması için zorunluluk ve kanunlarda açıkça öngörülme gibi istisnai sebeplere dayanarak açık rıza almaksızın da sağlık verilerini hukuka uygun bir şekilde işleyebilme imkânına kavuşmuştur.

Sigortacılık Faaliyetlerinde Yurt İçi Veri Aktarımı

Sigortacılık sektöründeki yoğun veri akışı, verilerin yurt içinde farklı aktörlerle paylaşılmasını zorunlu kılmaktadır. Kişisel verilerin yurt içinde aktarılması, kural olarak ilgili kişinin açık rızasına bağlı olsa da sigorta sözleşmesinin ifası kapsamında açık rıza aranmaksızın da gerçekleştirilebilir. Sigorta şirketlerinin poliçe düzenleme, hasar tespiti ve tazminat ödeme süreçlerinde acenteler, brokerler, eksperler ve asistans şirketleri ile veri paylaşımı yapması hukuka uygunluk sebepleri dâhilindedir. Sigortacılık mevzuatı çerçevesinde, şirketlerin risk değerlendirmesi amacıyla Sigorta Bilgi ve Gözetim Merkezi (SBM) üzerinden gerçekleştirdiği paylaşımlar ve şüpheli hasar bildirimleri de kanunlarda açıkça öngörülme ve hukuki yükümlülüklerin yerine getirilmesi şartları çerçevesinde hukuka uygun sayılmaktadır. Bu süreçte aktarılan verilerin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine sıkı sıkıya bağlı kalınarak işlenmesi gerekmektedir.

Yurt Dışına Veri Aktarımı ve Reasürans Uygulamaları

Küresel nitelikteki sigortacılık faaliyetleri ve özellikle riskin uluslararası alanda dağıtılmasını sağlayan reasürans işlemleri, kişisel verilerin yurt dışına aktarılmasını gerektirmektedir. KVKK Reform Yasası ile yurt dışına veri aktarımı rejimi Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (GDPR) uyumlu hale getirilerek açık rızaya olan mutlak bağımlılık ortadan kaldırılmıştır. Yenilenen mevzuat kapsamında, sigorta ve reasürans şirketleri yurt dışına veri aktarımında aşağıdaki alternatif hukuki mekanizmaları kullanabilir:

  • Yeterlilik kararı bulunması: Aktarım yapılacak ülkenin veya sektörün Kişisel Verileri Koruma Kurulu tarafından güvenli kabul edilmesi.
  • Standart sözleşmelerin akdedilmesi: Kurul tarafından belirlenen güvence hükümlerini içeren standart sözleşmelerin imzalanarak bildiriminin yapılması.
  • Bağlayıcı şirket kuralları: Çok uluslu sigorta grupları arasında Kurul onaylı bağlayıcı kuralların uygulanması.
  • Arızi (istisnai) durumlar: Yurt dışı seyahat sigortalarında fiili imkânsızlık gibi süreklilik arz etmeyen tekil olaylara özgü zorunluluk hallerinin bulunması.

Bu yenilikler, uluslararası yazılımlar kullanan ve yurt dışındaki reasürörlere veri aktaran sigorta şirketlerinin uyum süreçlerini büyük ölçüde kolaylaştırmıştır.

Sigorta yaptırırken rıza formunu imzalamak zorunda mıyım? expand_more
Sigorta şirketleri, poliçe hazırlığı ve risk değerlendirmesi gibi sözleşmenin kurulmasıyla doğrudan ilgili süreçlerde verilerinizi yasal işleme şartlarına dayanarak işleyebilir. Ancak, sigortacılık hizmetinin sunulmasının doğrudan açık rızanıza bağlanması ve bunun bir ön şart olarak size dayatılması Kişisel Verilerin Korunması Kanunu'na (KVKK) açıkça aykırılık teşkil eder. Veri işleme süreçlerinde eğer rızaya dayanılıyorsa, bu rızanın tamamen özgür iradenizle verilmiş olması yasal bir zorunluluktur.
Sigorta şirketi hastane geçmişime bana sormadan bakabilir mi? expand_more
2024 yılında yürürlüğe giren KVKK Reform Yasası ile birlikte özel nitelikli kişisel veri olan sağlık verilerinin işlenme şartları genişletilmiş ve yasal tıkanıklıklar giderilmiştir. Poliçe tazminat süreçlerinin yürütülmesi ve hukuki uyuşmazlıkların çözümü gibi spesifik durumlarda, bir hakkın tesisi, kullanılması veya korunması amacıyla açık rızanız alınmaksızın bu verileriniz işlenebilir. Dolayısıyla, kanunda açıkça öngörülen bu istisnai hukuki sebeplerin varlığı halinde sigorta şirketlerinin işlemleri hukuka uygun kabul edilmektedir.
Bilgilerimi sadece sigortaya verdim, eksper beni nasıl arıyor? expand_more
Sigortacılık sektöründe poliçe düzenleme, hasar tespiti veya tazminat ödemesi gibi süreçlerin yürütülebilmesi için verilerinizin eksperler, acenteler veya asistans şirketleri ile paylaşılması uygulamanın bir parçasıdır. Bu tür yurt içi veri aktarımları, sigorta sözleşmesinin ifası kapsamında değerlendirildiği için kural olarak açık rızanıza gerek duyulmaksızın hukuka uygun şekilde gerçekleştirilir. Ayrıca, şirketlerin yasal mevzuat gereği şüpheli hasar bildirimleri veya risk değerlendirmesi amacıyla Sigorta Bilgi ve Gözetim Merkezi (SBM) ile veri paylaşması da hukuki yükümlülükleri çerçevesinde yasaldır.
Poliçem için yurt dışındaki bir şirkete verilerim gönderilir mi? expand_more
Evet, özellikle riskin uluslararası alanda dağıtılmasını sağlayan reasürans işlemleri veya şirketlerin uluslararası yazılımlar kullanması sebebiyle kişisel verileriniz yurt dışına aktarılabilmektedir. KVKK Reform Yasası ile birlikte yurt dışına veri aktarım rejimi Avrupa Birliği (GDPR) standartlarına uyumlu hale getirilmiş ve yalnızca açık rızaya olan mutlak bağımlılık ortadan kaldırılmıştır. Güncel mevzuat kapsamında sigorta şirketleri; yeterlilik kararları, Kişisel Verileri Koruma Kurulu tarafından belirlenen standart sözleşmeler veya bağlayıcı şirket kuralları gibi alternatif hukuki mekanizmaları kullanarak bu aktarımı yasal olarak gerçekleştirebilirler.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir